Trojaner-Board - Infected !

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Infected ! (https://www.trojaner-board.de/26841-infected.html)

Hi,

hoffe mir kann jemand helfen. bin mir ziemlich sicher dass ich nen backdoor oder irgend nen andren shice aufm rechner hab. Norton findet nix, antivir ebenfalls nich, ad-aware auch nich. hijackthis hat unter windows 25 prozesse aufgelistet, aber als ich hijackthis laufen hatte waren 31 prozesse geöffnet, unteranderem wmiprvse.exe... ad-aware dursucht ordner die nich im explorer aufgeführt sind ( hab versteckte dateien/system dat. eingeblendet) mediaplayer spielt keinen sound ab obwohl treiber installiert sind und soundkarte betriebsbereit ist. Unter Windows krieg ich keine Verbindung mehr zu Websites, aber der esel läuft noch...egal was ich öffnen will,der rechner läd sich nen Wolf,aber prozessorauslastung is unter 10%...Sobald ich meinen router ausschalte geht das laden wieder wie es sollte. Im abgesicherten modus funzt I-net ganz normal.
Ich hab wirklich keine Ahnung was das ist. Hoffentlich hat von euch jemand ne idee. thx schon ma
Scr00m

Logfile of HijackThis v1.99.1
Scan saved at 00:50:42, on 15.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
G:\alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\taskmgr.exe
G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: FV - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\FV.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PKSYU - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\PKSYU.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\alcohol120\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VDMLQFCASSC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\VDMLQFCASSC.exe

Da Du eh den Rootkitrevealer hast laufen lassen, poste doch bitte mal das Log.

Dazu noch ein eScan Log, welches mit Hilfe der find.bat erstellt wurde. Halte Dich exakt und Wort für Wort an die Anleitung, sonst geht die Auswertung mit der find.bat schief:

http://www.trojaner-board.de/showthread.php?t=17492

So thx erstma für eure(deine) Mühe...

4 mal mit revealer geöffnet... jedesmal ging noch ein andrer( immer unterschielicher) Prozess auf beim ersten mal SHE.EXE, Proz.auslastung auf 99%
system nicht mehr ansprechbar, sprich kein log(norton wurde mit 3 einträgen angezeigt was beim andren scan nicht mehr war. Beim 2ten scan von dem auch das log ist ging NCKAT.EXE auf, beim dritten starten UXWJOMNOTKG.EXE und beim 4ten mal STYTZPNAZ.EXE.( ich denk wenn ichs 10 mal versucht hätte wärn noch 6 andre prozesse dabei).. bei den letzten beiden hab ich nicht mehr gescannt. Nun ma die logs:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 15 03:33:26 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Wed Feb 15 03:33:27 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Feb 15 03:34:05 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\1EBF720E.tmp infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken.
Wed Feb 15 03:41:16 2006 => Scanning File C:\Programme\a-squared\infected.txt
Wed Feb 15 10:03:33 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 15 08:12:13 2006 => File G:\Pr0gZ\girc442.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 15 03:33:18 2006 => Offending Folder found: C:\WINDOWS\system32\cache329
Wed Feb 15 03:33:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sc00m\Eigene Dateien\thq\mxvsatv unleashed\save
Wed Feb 15 03:33:26 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Wed Feb 15 03:33:27 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 15 10:03:33 2006 => Total Objects Scanned: 48704
Wed Feb 15 10:03:33 2006 => Total Critical Objects: 6
Wed Feb 15 10:03:33 2006 => Total Disinfected Objects: 0
Wed Feb 15 10:03:33 2006 => Total Deleted Objects: 0
Wed Feb 15 10:03:33 2006 => Total Errors: 107
Wed Feb 15 10:03:33 2006 => Time Elapsed: 06:30:33
Wed Feb 15 03:28:37 2006 => Virus Database Date: 2/3/2006
Wed Feb 15 03:30:44 2006 => Virus Database Date: 2/15/2006
Wed Feb 15 10:03:33 2006 => Virus Database Date: 2/15/2006
Wed Feb 15 12:32:10 2006 => Virus Database Date: 2/15/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

un noch revealer log :

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 3.2.2006 18:50 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\vax347s\Config\jdgg40 15.2.2006 12:42 0 bytes Hidden from Windows API.
C:\$AttrDef 24.1.2006 05:04 2.50 KB Hidden from Windows API.
C:\$BadClus 24.1.2006 05:04 0 bytes Hidden from Windows API.
C:\$BadClus:$Bad 24.1.2006 05:04 19.13 GB Hidden from Windows API.
C:\$Bitmap 24.1.2006 05:04 612.10 KB Hidden from Windows API.
C:\$Boot 24.1.2006 05:04 8.00 KB Hidden from Windows API.
C:\$Extend 24.1.2006 05:04 0 bytes Hidden from Windows API.
C:\$Extend\$ObjId 24.1.2006 05:04 0 bytes Hidden from Windows API.
C:\$Extend\$Quota 24.1.2006 05:04 0 bytes Hidden from Windows API.
C:\$Extend\$Reparse 24.1.2006 05:04 0 bytes Hidden from Windows API.
C:\$LogFile 24.1.2006 05:04 64.00 MB Hidden from Windows API.
C:\$MFT 24.1.2006 05:04 22.86 MB Hidden from Windows API.
C:\$MFTMirr 24.1.2006 05:04 4.00 KB Hidden from Windows API.
C:\$Secure 24.1.2006 05:04 0 bytes Hidden from Windows API.
C:\$UpCase 24.1.2006 05:04 128.00 KB Hidden from Windows API.
C:\$Volume 24.1.2006 05:04 0 bytes Hidden from Windows API.
C:\RECYCLER\S-1-5-21-789336058-790525478-839522115-1003\Dc2.bat 15.2.2006 12:39 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\RECYCLER\S-1-5-21-789336058-790525478-839522115-1003\Dc2.bat\Find.bat 15.1.2006 19:27 2.15 KB Visible in Windows API, but not in MFT or directory index.
D:\$AttrDef 31.1.2006 12:06 2.50 KB Hidden from Windows API.
D:\$BadClus 31.1.2006 12:06 0 bytes Hidden from Windows API.
D:\$BadClus:$Bad 31.1.2006 12:06 38.28 GB Hidden from Windows API.
D:\$Bitmap 31.1.2006 12:06 9.57 MB Hidden from Windows API.
D:\$Boot 31.1.2006 12:06 8.00 KB Hidden from Windows API.
D:\$Extend 31.1.2006 12:06 0 bytes Hidden from Windows API.
D:\$Extend\$ObjId 31.1.2006 12:08 0 bytes Hidden from Windows API.
D:\$Extend\$Quota 31.1.2006 12:08 0 bytes Hidden from Windows API.
D:\$Extend\$Reparse 31.1.2006 12:08 0 bytes Hidden from Windows API.
D:\$LogFile 31.1.2006 12:06 64.00 MB Hidden from Windows API.
D:\$MFT 31.1.2006 12:06 464.00 KB Hidden from Windows API.
D:\$MFTMirr 31.1.2006 12:06 4.00 KB Hidden from Windows API.
D:\$Secure 31.1.2006 12:06 0 bytes Hidden from Windows API.
D:\$UpCase 31.1.2006 12:06 128.00 KB Hidden from Windows API.
D:\$Volume 31.1.2006 12:06 0 bytes Hidden from Windows API.
G:\$AttrDef 3.6.2005 20:17 2.50 KB Hidden from Windows API.
G:\$BadClus 3.6.2005 20:17 0 bytes Hidden from Windows API.
G:\$BadClus:$Bad 3.6.2005 20:17 233.76 GB Hidden from Windows API.
G:\$Bitmap 3.6.2005 20:17 58.44 MB Hidden from Windows API.
G:\$Boot 3.6.2005 20:17 8.00 KB Hidden from Windows API.
G:\$Extend 3.6.2005 20:17 0 bytes Hidden from Windows API.
G:\$Extend\$ObjId 3.6.2005 20:17 0 bytes Hidden from Windows API.
G:\$Extend\$Quota 3.6.2005 20:17 0 bytes Hidden from Windows API.
G:\$Extend\$Reparse 3.6.2005 20:17 0 bytes Hidden from Windows API.
G:\$LogFile 3.6.2005 20:17 64.00 MB Hidden from Windows API.
G:\$MFT 3.6.2005 20:17 21.30 MB Hidden from Windows API.
G:\$MFTMirr 3.6.2005 20:17 4.00 KB Hidden from Windows API.
G:\$Secure 3.6.2005 20:17 0 bytes Hidden from Windows API.
G:\$UpCase 3.6.2005 20:17 128.00 KB Hidden from Windows API.
G:\$Volume 3.6.2005 20:17 0 bytes Hidden from Windows API.

GreetZ Scr00m

Also das meiste sind Metadaten. Die Einträge sind ok. Da ist zwar Cydoor drauf, aber ich glaube nicht, dass das so einen Ärger macht.
Scanne bitte nocht mit Blacklight und berichte.

thx für deine schnelle antwort...

blacklight findet nichts <-- log macht wenig sinn, poste es trotzdem mal

02/15/06 15:18:47 [Info]: BlackLight Engine 1.0.30 initialized
02/15/06 15:18:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/15/06 15:18:47 [Note]: 7019 4
02/15/06 15:18:47 [Note]: 7005 0
02/15/06 15:19:01 [Note]: 7006 0
02/15/06 15:19:01 [Note]: 7011 1940
02/15/06 15:19:03 [Note]: FSRAW library version 1.7.1014
02/15/06 15:20:29 [Note]: 7007 0

Norton hat eben unter windows nen zugriffsversuch eines Remote-systems gemeldet,
und ein unbekanntes prog versuchte mit hilfe von LuComServer_2_7.EXE aufs internet zuzugreifen

GreetZ
Scr00m

Schau mal, ob Du diese LuComserver-Datei finden kannst und lasse sie bei jotti prüfen. Es kann aber ein ganz gewaltiger Bug von Norton sein:

http://www.lucom-gmbh.de/web/side25....ee8ce926f6222e

auf jotti wird nichts gefunden ...
ich hab wirklich langsam keinen plan mehr was mit dem rechner los is.

GreetZ

Scr00m

Ich blci da grad auch nicht mehr durch. Am besten wartest Du, bis sich das mal jemand anders angeschaut hat.

Während dessen kannst Du mal noch folgendes machen:

Lade Dir mal Filemon von Sysinternals und mache folgende Einstellungen

Include: LuComServer_2_7.EXE
Exclude:
Highlight:
Einfach nebenher laufen lassen und mal schauen was auf die Datei zugreifen will

k werd ich mal ausprobieren...

trotzdem thx für deine Bemühungen

GreetZ

Scr00m

Hallo Scr00m

ich schau mal nach ;)

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

soo hab grad ewido laufen lassen ... updaten funzte nicht, da mal wieder ein unbekanntes prog drauf zu greifen wollte. Wenn ich mit firefox ins netz will, versucht ein unbek. prog. mit hilfe von svchost.exe aufs internet zuzugreifen...

Ewido "ohne" update, hat lediglich 11 tracking cookies gefunden....

Als ich filemon laufen hatte, versuchte wieder ein unbekanntes prog mit dem LuComserver_2_7.exe zumnetz zu verbinden. Nachdem ichs 3 oder 4 mal blockiert hab war funkstille, normalerweise musste ich mindestens 12-14 mal blockieren bis es ruhe gab ?!?!?

Hat evtl. noch jemand ne idee?
Bin über jeden Ratschlag dankbar

hi sabina thx für deine hilfe ... werd ich gleich mal machen
GreetZ
Scr00m

versucht diese exe Anschluss an den PC zu bekommen ? ;)

c:\program files\symantec\liveupdate\lucomserver_2_7.exe

Zitat:

Zitat von Scr00m

Als ich filemon laufen hatte, versuchte wieder ein unbekanntes prog mit dem LuComserver_2_7.exe zumnetz zu verbinden.

Erledige bitte erstmal Sabinas Anweisungen, aber nur aus Interesse:

Was zeigt Filemon an beim Zugriff auf die lucom-Datei (Spalte Process)?

@Sabina

http://www.lucom-gmbh.de/web/side25....ee8ce926f6222e

So wie ich den TO verstanden habe, versucht ein Programm über lucom aufs Netz zuzugreifen. Also nicht lucom selbst. Aber so ganz peil ich das nicht. Deswegen auch meine PN.

Zitat:

So wie ich den TO verstanden habe, versucht ein Programm über lucom aufs Netz zuzugreifen. Also nicht lucom selbst. Aber so ganz peil ich das nicht.

ich habs auch nicht gepeilt ;)

Zitat:

So wie ich den TO verstanden habe, versucht ein Programm über lucom aufs Netz zuzugreifen. Also nicht lucom selbst. Aber so ganz peil ich das nicht.

ich habs auch nicht gepeilt :headbang: